مشاركة عبر

استكشاف أخطاء حل Microsoft Sentinel الخاص بك وإصلاحها لنشر تطبيقات SAP

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

تتضمن هذه المقالة خطوات استكشاف الأخطاء وإصلاحها لمساعدتك على ضمان استيعاب البيانات ومراقبتها بدقة وفي الوقت المناسب لبيئة SAP الخاصة بك باستخدام Microsoft Sentinel وعامل موصل البيانات.

لا تكون إجراءات استكشاف الأخطاء وإصلاحها المحددة ذات صلة إلا عند نشر عامل موصل البيانات عبر سطر الأوامر. إذا استخدمت الإجراء الموصى به لنشر العامل من المدخل، فاستخدم المدخل لإجراء أي تغييرات في التكوين.

إشعار

هذه المقالة ذات صلة فقط بعامل موصل البيانات، ولا تتعلق بحل SAP بدون عامل (معاينة محدودة).

أوامر Docker مفيدة

عند استكشاف أخطاء Microsoft Sentinel لموصل بيانات SAP وإصلاحها، قد تجد الأوامر التالية مفيدة:

الدالة الأمر
إيقاف حاوية Docker docker stop sapcon-[SID]
بدء حاوية Docker docker start sapcon-[SID]
عرض سجلات نظام Docker docker logs -f sapcon-[SID]
دخول حاوية Docker docker exec -it sapcon-[SID] bash

لمزيد من المعلومات، راجع وثائق Docker CLI.

مراجعة سجلات النظام

نوصي بشدة بمراجعة سجلات النظام بعد تثبيت موصل البيانات أو إعادة تعيينه.

تشغيل:

docker logs -f sapcon-[SID]

لتمكين/ تعطيل وضع تتبع أخطاء الطباعة

يتم دعم هذا الإجراء فقط إذا قمت بنشر عامل موصل البيانات من سطر الأوامر.

  1. على الجهاز الظاهري لحاوية عامل جامع البيانات، قم بتحرير الملف /opt/sapcon/[SID]/systemconfig.json .

  2. حدّد القسم "General" إذا لم يتم تعريفه مسبقًا. في هذا القسم، حدد logging_debug = True لتمكين طباعة وضع تتبع الأخطاء، أو logging_debug = False لتعطيلها.

    على سبيل المثال:

    [General]
logging_debug = True

  3. حفظ الملف.

يسري التغيير بعد دقيقتين تقريبا من حفظ الملف. لا تحتاج إلى إعادة تشغيل حاوية Docker.

عرض جميع سجلات تنفيذ الحاوية

يتم تخزين سجلات تنفيذ الموصل لحل Microsoft Sentinel لنشر موصل بيانات تطبيقات SAP على الجهاز الظاهري الخاص بك في /opt/sapcon/[SID]/log/. اسم ملف السجل OmniLog.log. يتم الاحتفاظ بمحفوظات ملفات السجل، لاحقة ب .[ number] مثل OmniLog.log.1 و OmniLog.log.2 وما إلى ذلك.

مراجعة وتحديث ملف تكوين موصل عامل Microsoft Sentinel ل SAP

يتم دعم هذا الإجراء فقط إذا قمت بنشر عامل موصل البيانات من سطر الأوامر. إذا قمت بنشر عاملك عبر المدخل، فتابع الحفاظ على إعدادات التكوين وتغييرها عبر المدخل.

إذا قمت بالنشر عبر سطر الأوامر، فنفذ الخطوات التالية:

  1. على الجهاز الظاهري، افتح ملف التكوين: sapcon/[SID]/systemconfig.json

  2. قم بتحديث التكوين إذا لزم الأمر، واحفظ الملف. لمزيد من المعلومات، راجع حل Microsoft Sentinel لمرجع ملف تطبيقات systemconfig.json SAP.

يسري التغيير بعد دقيقتين تقريبا من حفظ الملف. لا تحتاج إلى إعادة تشغيل حاوية Docker.

إعادة تعيين موصل بيانات Microsoft Sentinel لـ SAP

تساعد الخطوات التالية على إعادة تعيين الموصل وإعادة إدخال سجلات SAP من مخزون آخر 30 دقيقة.

  1. أوقف الموصل. تشغيل:

    docker stop sapcon-[SID]

  2. احذف ملف metadata.db من الدليل /opt/sapcon/[SID]. تشغيل:

    cd /opt/sapcon/<SID>
rm metadata.db

    إشعار

    يحتوي ملف metadata.db على الطابع الزمني الأخير لكل سجل من السجلات، ويعمل على منع التكرار.

  3. ابدأ تشغيل الموصل مرة أخرى. تشغيل:

    docker start sapcon-[SID]

تأكد من مراجعة سجلات النظام عند الانتهاء.

المشكلات الشائعة

بعد نشر كل من موصل بيانات Microsoft Sentinel ل SAP ومحتوى الأمان، قد تواجه الأخطاء أو المشكلات التالية:

ملف SAP SDK تالف أو مفقود

قد يحدث هذا الخطأ عندما يفشل الموصل في التمهيد باستخدام PyRfc، أو تظهر رسائل الخطأ المتعلقة بالضغط.

  1. أعد تثبيت SAP SDK.
  2. تحقق من أنك إصدار Linux 64 بت الصحيح، مثل nwrfc750P_8-70002752.zip.

إذا قمت بتثبيت موصل البيانات يدويًا، فتأكد من نسخ ملف SDK إلى حاوية Docker.

تشغيل:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

تظهر أخطاء وقت تشغيل ABAP على نظام كبير

يتم دعم هذا الإجراء فقط إذا قمت بنشر عامل موصل البيانات من سطر الأوامر.

إذا ظهرت أخطاء وقت تشغيل ABAP على أنظمة كبيرة، فحاول تعيين حجم مجموعة أصغر:

  1. قم بتحرير ملف /opt/sapcon/[SID]/systemconfig.json وفي قسم تكوين الموصل، حدد timechunk = 5.

    على سبيل المثال:

    [Connector Configuration]
timechunk = 5

  2. حفظ الملف.

يسري التغيير بعد دقيقتين تقريبا من حفظ الملف. لا تحتاج إلى إعادة تشغيل حاوية Docker.

إشعار

يتم تعريف حجم timechunk بالدقائق.

تم استرداد سجل تدقيق فارغ أو لم يتم استرداده، مع عدم وجود رسائل خطأ خاصة

  1. تحقق من تمكين تسجيل التدقيق في SAP.
  2. تحقق من المعاملات SM19 أو RSAU_CONFIG.
  3. تمكين أي أحداث حسب الحاجة.
  4. تحقق مما إذا كانت الرسائل تصل وتوجد في SAP SM20 أو RSAU_READ_LOG، دون أي أخطاء خاصة تظهر في سجل الموصل.

معرف مساحة العمل أو المفتاح غير صحيح في key vault

إذا أدركت أنك أدخلت معرف مساحة عمل أو مفتاحا غير صحيح في البرنامج النصي للتوزيع، فقم بتحديث بيانات الاعتماد المخزنة في مخزن مفاتيح Azure.

بعد التحقق من بيانات الاعتماد الخاصة بك في Azure KeyVault، أعد تشغيل الحاوية:

docker restart sapcon-[SID]

بيانات اعتماد مستخدم SAP ABAP غير صحيحة في مخزن المفاتيح

تحقق من بيانات الاعتماد الخاصة بك وأصلحها حسب الحاجة، وتطبيق القيم الصحيحة على قيم ABAPUSER وABAPPASS في Azure Key Vault.

ثم أعد تشغيل الحاوية:

docker restart sapcon-[SID]

بيانات اعتماد مستخدم SAP ABAP غير صحيحة في تكوين ثابت

يتم دعم هذا القسم فقط إذا قمت بنشر عامل موصل البيانات من سطر الأوامر.

التكوين الثابت هو عند تخزين كلمة المرور مباشرة في ملف تكوين systemconfig.json .

إذا كانت بيانات الاعتماد الخاصة بك هناك غير صحيحة، فتحقق من بيانات الاعتماد الخاصة بك.

استخدم تشفير base64 لتشفير المستخدم وكلمة المرور. يمكنك استخدام أدوات التشفير عبر الإنترنت لتشفير بيانات الاعتماد الخاصة بك، مثل https://www.base64encode.org/.

أذونات ABAP مفقودة (مستخدم SAP)

إذا تلقيت رسالة خطأ مشابهة لما يلي: ..Missing Backend RFC Authorization..، فقد تعذر تطبيق تخويلات SAP والدور الخاص بك بشكل صحيح.

  1. تأكد من استيراد دور MSFTSEN/SENTINEL_CONNECTOR كجزء من نقل طلب التغيير وتطبيقه على مستخدم الموصل.

  2. قم بتشغيل عملية إنشاء الأدوار ومقارنة المستخدمين باستخدام معاملة SAP PFCG.

البيانات المفقودة في المصنفات أو التنبيهات

إذا وجدت أنك تفتقد البيانات في مصنفات Microsoft Sentinel أو تنبيهاتك، فتأكد من تمكين نهج Auditlog بشكل صحيح على جانب SAP، دون أي أخطاء في ملف سجل الحاوية.

استخدم المعاملة RSAU_CONFIG_LOG لهذه الخطوة.

لمزيد من المعلومات، راجع وثائق SAP وجمع سجلات تدقيق SAP HANA في Microsoft Sentinel.

نوصي بتكوين التدقيق لكافة الرسائل من سجل التدقيق، بدلا من سجلات محددة فقط. عادة ما تكون اختلافات تكلفة الاستيعاب ضئيلة والبيانات مفيدة لاكتشافات Microsoft Sentinel وفي التحقيقات والتتبع بعد الاختراق. لمزيد من المعلومات، راجع تكوين تدقيق SAP.

حقول عنوان IP أو رمز المعاملة مفقودة في سجل تدقيق SAP

في أنظمة SAP مع إصدارات SAP BASIS 7.5 SP12 والإصدارات الأحدث، يمكن أن يعكس Microsoft Sentinel حقولا إضافية في ABAPAuditLog_CL الجدولين و SAPAuditLog .

إذا كنت تستخدم إصدارات SAP BASIS أعلى من 7.5 SP12 وتفتقد حقول عنوان IP أو رمز المعاملة في سجل تدقيق SAP، فتحقق من أن نظام SAP الذي تستخرج منه البيانات يحتوي على طلبات التغيير ذات الصلة (النقل). لمزيد من المعلومات، راجع تكوين الدعم لاسترداد البيانات الإضافية (مستحسن).

طلب تغيير SAP مفقود

إذا رأيت أخطاء في فقدان طلب تغيير SAPمطلوب، فتأكد من استيراد طلب تغيير SAP الصحيح للنظام. لمزيد من المعلومات، راجع متطلبات SAP الأساسية وتكوين نظام SAP لحل Microsoft Sentinel.

لا تظهر أي بيانات في سجل بيانات جدول SAP

في أنظمة SAP مع إصدارات SAP BASIS 7.5 SP12 والإصدارات الأحدث، يمكن أن يعكس Microsoft Sentinel تغييرات سجل بيانات الجدول في ABAPTableDataLog_CL الجدول.

إذا لم تظهر أي بيانات في ABAPTableDataLog_CL الجدول، فتحقق من أن نظام SAP الذي تستخرج منه البيانات يحتوي على طلبات التغيير ذات الصلة (عمليات النقل). لمزيد من المعلومات، راجع تكوين الدعم لاسترداد البيانات الإضافية (مستحسن).

لا توجد سجلات / سجلات متأخرة

يعتمد عامل جامع البيانات على معلومات المنطقة الزمنية لتكون صحيحة. إذا رأيت أنه لا توجد سجلات في سجلات تدقيق SAP وتغييرها، أو إذا كانت السجلات متخلفة باستمرار لبضع ساعات، فتحقق مما إذا كان تقرير SAP TZCUSTHELP يقدم أي أخطاء. لمزيد من المعلومات، راجع 481835 ملاحظة SAP.

قد تكون هناك أيضا مشكلات في الساعة على الجهاز الظاهري حيث تتم استضافة حاوية عامل جامع البيانات، وأي انحراف عن الساعة على الجهاز الظاهري من UTC يؤثر على جمع البيانات. والأهم من ذلك، يجب أن تتطابق الساعات على كل من أجهزة نظام SAP وأجهزة عامل جامع البيانات.

نوصي بتكوين التدقيق لكافة الرسائل من سجل التدقيق، بدلا من سجلات محددة فقط. عادة ما تكون اختلافات تكلفة الاستيعاب ضئيلة والبيانات مفيدة لاكتشافات Microsoft Sentinel وفي التحقيقات والتتبع بعد الاختراق. لمزيد من المعلومات، راجع تكوين تدقيق SAP.

مشاكل الاتصال بالشبكة

إذا كنت تواجه مشكلات في اتصال الشبكة ببيئة SAP أو بـ Microsoft Azure Sentinel، فتحقق من اتصال الشبكة للتأكد من تدفق البيانات كما هو متوقع.

تتضمن المشكلات الشائعة:

  • قد تمنع جدران الحماية بين حاوية docker ومضيفي SAP نسبة استخدام الشبكة. يتلقى مضيف SAP الاتصال عبر منافذ TCP التالية، والتي يجب أن تكون مفتوحة: 32xx و5xx13 و33xx، حيث xx هو رقم مثيل SAP.

  • يتطلب الاتصال الصادر من مضيف عامل SAP إلى Microsoft Container Registry أو Azure تكوين الوكيل. يؤثر هذا عادة على التثبيت ويتطلب منك تكوين المتغيرين البيئيين HTTP_PROXY وHTTPS_PROXY. يمكنك أيضًا استيعاب متغيرات البيئة في حاوية docker عند إنشاء الحاوية، عن طريق إضافة -e العلامة إلى أمر docker create / run.

فشل استرداد سجل التدقيق مع ظهور تحذيرات

يتم دعم هذا القسم فقط إذا قمت بنشر عامل موصل البيانات من سطر الأوامر.

إذا حاولت استرداد سجل تدقيق دون التكوينات المطلوبة وفشلت العملية مع التحذيرات، فتحقق من إمكانية استرداد SAP Auditlog باستخدام إحدى الطرق التالية:

  • استخدام وضع توافق يسمى XAL على الإصدارات القديمة
  • باستخدام إصدار لم يتم تصحيحه مؤخرًا
  • دون أي تغييرات تم إجراؤها للاتصال بعامل موصل بيانات Microsoft Sentinel. لمزيد من المعلومات، راجع تكوين نظام SAP لحل Microsoft Sentinel.

بينما يجب أن يتحول النظام تلقائيا إلى وضع التوافق إذا لزم الأمر، فقد تحتاج إلى تبديله يدويا. للتبديل إلى وضع التوافق يدويًا:

  1. تحرير ملف /opt/sapcon/[SID]/systemconfig.json.

  2. في قسم "Connector Configuration" حدّد التعريف: auditlogforcexal = True

    على سبيل المثال:

    [Connector Configuration]
auditlogforcexal = True

  3. حفظ الملف.

يسري التغيير بعد دقيقتين تقريبا من حفظ الملف. لا تحتاج إلى إعادة تشغيل حاوية Docker.

أنظمة SAPCONTROL أو JAVA الفرعية غير قادرة على الاتصال

تحقق من أن مستخدم نظام التشغيل صالح ويمكنه تشغيل الأمر التالي على نظام SAP الهدف:

sapcontrol -nr <SID> -function GetSystemInstanceList

إذا فشل نظام SAPCONTROL أو JAVA الفرعي الخاص بك مع ظهور رسالة خطأ متعلقة بالمنطقة الزمنية، مثل: يرجى التحقق من التكوين والوصول إلى الشبكة لخادم SAP - 'Etc/NZST'، فتأكد من أنك تستخدم رموز المنطقة الزمنية القياسية.

على سبيل المثال، استخدم javatz = GMT+12 أو abaptz = GMT-3** .

لم يتم استيعاب بيانات سجل التدقيق بعد التحميل الأولي

إذا لم يتم استيعاب بيانات سجل تدقيق SAP، المرئية في معاملات RSAU_READ_LOAD أو SM200 ، في Microsoft Sentinel بعد التحميل الأولي، فقد يكون لديك تكوين خاطئ لنظام SAP ونظام تشغيل مضيف SAP.

  • يُجرى استيعاب الأحمال الأولية بعد تثبيت جديد لموصل بيانات Microsoft Sentinel لـ SAP أو بعد حذف ملف metadata.db.
  • قد يكون نموذج التكوين الخاطئ عند تعيين المنطقة الزمنية لنظام SAP إلى CET في معاملة STZAC، ولكن يتم تعيين المنطقة الزمنية لنظام تشغيل مضيف SAP إلى UTC.

للتحقق من وجود تكوينات خاطئة، قم بتشغيل تقرير RSDBTIME في المعاملة SE38. إذا وجدت عدم تطابق بين نظام SAP ونظام تشغيل مضيف SAP:

  1. أوقف حاوية Docker. تشغيل

    docker stop sapcon-[SID]

  2. احذف ملف metadata.db من الدليل /opt/sapcon/[SID]. تشغيل:

    rm /opt/sapcon/[SID]/metadata.db

  3. قم بتحديث نظام SAP ونظام تشغيل مضيف SAP بحيث يكون لديهم إعدادات مطابقة، مثل نفس المنطقة الزمنية. لمزيد من المعلومات، راجع SAP Community Wiki.

  4. بدء تشغيل الحاوية مرة أخرى. تشغيل:

    docker start sapcon-[SID]

مشكلات أخرى غير متوقعة

إذا كانت لديك مشكلات غير متوقعة غير مدرجة في هذه المقالة، فجرب الخطوات التالية:

تلميح

يوصى أيضًا بإعادة تعيين الموصل والتأكد من حصولك على أحدث الترقيات بعد أي تغييرات تكوين رئيسية.

المحتوى ذو الصلة

تعرف على المزيد حول حل Microsoft Sentinel لتطبيقات SAP:

الملفات المرجعية:

لمزيد من المعلومات، راجع حلول Microsoft Sentinel.